Heartbleed nu este doar o problemă de birou - Android dvs. ar putea fi un risc
Cei mai mulți dintre noi știți Heartbleed Heartbleed - Ce puteți face pentru a rămâne sigură? Heartbleed - Ce puteți face pentru a vă menține în siguranță? Citiți mai mult ca un bug care a afectat site-urile web și serverele web, dar Android 4.1.1 utilizează, de asemenea, versiunea vulnerabilă a OpenSSL. Cu alte cuvinte, unele smartphone-uri Android și tabletele sunt vulnerabile la atacurile Heartbleed.
Care este riscul?
Heartbleed a fost folosit pentru a ataca diverse servere de web Săpare prin hipere: a inimii de fapt a rănit pe cineva? Săparea prin hipere: a suferit o înțepătură de inimă? Citeste mai mult . Pe scurt, serverele care rulează versiunea vulnerabilă a OpenSSL au un bug în criptarea lor care poate fi exploatată. Prin trimiterea unor pachete special create, atacatorii pot forța serverul web să răspundă cu bucăți din memoria sa de lucru. Această memorie de lucru poate conține parole sensibile, chei private de criptare și alte date importante.
Dispozitivul dvs. Android nu funcționează bine ca server web, desigur. Problema este că defectul poate funcționa și în sens invers dacă clientul - Android, în acest caz - rulează software vulnerabil OpenSSL. Cu alte cuvinte, atunci când vă conectați la un site web rău intenționat sau compromis de pe dispozitivul Android 4.1.1, site-ul web poate trimite pachete special create și forța telefonul sau tableta Android să răspundă cu bucăți din memoria sa de lucru. Această memorie ar putea conține date sensibile - de exemplu, ar putea da datele care aparțin unei aplicații bancare online sau numărului cărții dvs. de credit dintr-o aplicație de cumpărături online care este salvată în memorie. S-ar putea da parole, mesaje private și orice alt lucru pe care ar putea-l avea Android-ul în memorie.
Dacă utilizați un dispozitiv vulnerabil, site-urile pe care le conectați prin intermediul browserului și alte aplicații pot utiliza defectul Heartbleed pentru a capta conținutul memoriei dispozitivului dvs..
Câte dispozitive sunt vulnerabile?
Google a divulgat aceste informații în mesajul pe care l-au citit cu informații despre Heartbleed:
“Toate versiunile de Android sunt imune la CVE-2014-0160 (cu excepția limitată a Android 4.1.1; informațiile despre patch-uri pentru Android 4.1.1 sunt distribuite partenerilor Android).”
Vestea bună este că dispozitivul dvs. Android este probabil bine. Vestea proastă este că tabloul de bord al dezvoltatorului Google indică faptul că până la 33,5% dintre dispozitivele cu utilizare activă rulează versiunea 4.1.x, cunoscută și sub numele de Jelly Bean. Acest lucru include dispozitive care rulează alte versiuni de Android 4.1 Top 12 Jelly Bean Sfaturi pentru o nouă experiență de tabletă Google Top 12 sfaturi pentru Jelly Bean pentru o nouă experiență Google Tablet Android Jelly Bean 4.2, livrat inițial pe Nexus 7, outshows versiunile anterioare de Android. Ea chiar a impresionat fanul nostru rezident Apple. Dacă aveți un Nexus 7, ... Citiți mai multe, deci nu știm exact câte dispozitive rulează Android 4.1.1 în mod specific.
Verificați dacă dispozitivul dvs. este vulnerabil
Dacă nu sunteți sigur ce versiune Android folosesc dispozitivele dvs., veți dori mai întâi să verificați. Deschideți aplicația Setări, derulați în jos în partea de jos a ecranului și atingeți Despre telefon sau Despre tabletă. Veți vedea numărul de versiune afișat în versiunea Android pe acest ecran.
Dacă vedeți altceva decât 4.1.1, sunteți bine. Dacă vedeți 4.1.1, este posibil să aveți o problemă.
Pentru a verifica dacă sunteți de fapt vulnerabilă, vă recomandăm să instalați aplicația Scaner de securitate pentru Lookout's Heartbleed Security Scanner. Această aplicație nu verifică doar versiunea instalată de Android. În schimb, verifică dacă versiunea OpenSSL de pe dispozitiv este vulnerabilă la Heartbleed. De asemenea, verifică dacă dispozitivul este de fapt vulnerabil - dacă OpenSSL a fost construit fără suport pentru bătăi de inimă pe dispozitivul dvs., s-ar putea să fiți sigur.
Aici folosim un Nexus 4 cu Android 4.4.2 și detectorul Heartbleed spune că OpenSSL este vulnerabil. Cu toate acestea, caracteristica bătăilor inimii este dezactivată pe această versiune de Android, deci suntem foarte bine. În ciuda mesajului potențial de avertizare, nu trebuie să ne facem griji deloc.
Actualizați dispozitivul
Soluția reală pentru dispozitivele vulnerabile este o actualizare. Așa cum a spus Google, ei încearcă să-i ajute pe producătorii de dispozitive Android și pe operatorii de telefonie mobilă să își patcheze dispozitivele. Cu toate acestea, știm cu toții că situația de actualizare Android poate fi un dezastru. Producătorii au multe dispozitive diferite pentru a le actualiza, deci este posibil ca acestea să nu fi emis încă un patch - sau să nu elibereze vreodată un patch dacă dispozitivul este mai vechi. Chiar dacă un producător eliberează un plasture, purtătorii celulari vor trebui să-l folosească și să-și tragă picioarele sau să nu elibereze niciodată plasturele.
Dacă dispozitivul dvs. este vulnerabil, trebuie să încercați să actualizați la cea mai recentă versiune disponibilă de Android pentru dispozitivul dvs., utilizând funcția de actualizare încorporată. Acest lucru va varia de la un dispozitiv la altul și de la un operator la altul.
Dacă nu puteți actualiza
Dacă hardware-ul dvs. Android este vulnerabil la Heartbleed și nu sunt disponibile patch-uri, sperăm că veți obține una în curând. Pentru a fi sigur, ar trebui să evitați să stocați date sensibile pe dispozitivul dvs. - aceasta înseamnă dezinstalați aplicațiile bancare online, nu introduceți cardul dvs. de credit în site-uri și aplicații și alte lucruri similare. Desigur, parolele și mesajele dvs. vor fi totuși expuse. Ar trebui să evitați să vizitați site-urile web și să utilizați cât mai multe aplicații dacă dispozitivul dvs. este o vulnerabilitate.
Majoritatea dispozitivelor Android nu rulează o versiune vulnerabilă, iar majoritatea dispozitivelor care rulează versiunile vulnerabile ar trebui să aibă disponibile actualizări pentru a remedia această problemă. Dacă utilizați unul dintre puținele dispozitive care nu au fost actualizate, ar trebui să opriți stocarea datelor sensibile pe dispozitiv. Poate doriți să contactați operatorul de telefonie sau producătorul dispozitivului dvs. și să vedeți dacă vor lansa curând o actualizare. Dacă dispozitivul nu primește o actualizare, poate că este timpul să obțineți unul nou.
Desigur, puteți instala întotdeauna un ROM personalizat Cum să găsiți și să instalați o ROM personalizat pentru dispozitivul dvs. Android Cum să găsiți și să instalați o ROM personalizat pentru dispozitiv Android Android este super personalizabil, dar pentru a profita pe deplin de faptul că, trebuie să flash ROM-ul personalizat. Iată cum să faceți acest lucru. Citiți mai mult ca CyanogenMod Cum să instalați CyanogenMod pe dispozitivul dvs. Android Cum să instalați CyanogenMod pe dispozitivul dvs. Android Mulți oameni pot fi de acord că sistemul de operare Android este destul de minunat. Nu numai că este minunat să utilizați, dar este, de asemenea, liber ca și în open source, astfel încât să poată fi modificat ... Citește mai mult pentru a înlocui versiunea Android care vine cu dispozitivul tău. Acest lucru vă va oferi o versiune actualizată de Android care nu este vulnerabilă, dar este un pic mai mult de lucru.
Desigur, s-ar putea să nu existe cazuri de exploatare a acestei vulnerabilități, dar este mai bine să fii în siguranță decât să îmi pare rău. Ar fi foarte dificil să detectăm dacă un dispozitiv Android a fost exploatat.
Heartbleed a fost folosit pentru a capta informații fiscale sensibile, parole și alte date online, deci este mai bine să evitați să folosiți orice software vulnerabil la atacurile Heartbleed.
Credit de imagine: Indi Samarajiva pe Flickr
Explorați mai multe despre: personalizat Android Rom, SSL.